AnyConnect安全移动客户端软件常见问题

目标

本文包含在设置、配置和故障排除Cisco AnyConnect安全移动客户端时的常见问题及其答案。

常见问题

目录

产品功能

1.什么是Cisco AnyConnect安全移动客户端？

2.使用Cisco AnyConnect安全移动客户端有哪些优势？

3. Cisco AnyConnect安全移动客户端的主要功能是什么？

许可证选项

4.部署AnyConnect安全移动客户端可能需要哪些许可证？

支持

5. Cisco AnyConnect安全移动客户端支持哪些模块？

6. Cisco AnyConnect安全移动客户端支持哪些操作系统？

7. Cisco AnyConnect安全移动客户端是否支持Apple iOS设备？

8. Cisco AnyConnect安全移动客户端支持哪些Apple iOS设备？

9.思科是否支持AnyConnect VPN访问Cisco IOS?

10. Cisco AnyConnect安全移动客户端是否支持Android设备？

11. Cisco AnyConnect安全移动客户端支持哪些Android设备？

安装

12. 64位浏览器(IE - Internet Explorer)是否支持AnyConnect Weblaunch安装？

13.安装Cisco AnyConnect安全移动客户端需要何种级别的权限？

14.安装或升级Cisco AnyConnect安全移动客户端后是否需要重新启动系统？

15.是否可以在AnyConnect上保存密码凭据，以便下次不再请求身份验证？

16.在安装Cisco AnyConnect安全移动之前，我应牢记哪些互操作性注意事项？

兼容性

17.已知哪些第三方应用与Cisco AnyConnect安全移动相冲突？

18. AnyConnect能否与来自同一PC上其他供应商的IPSec和/或SSL VPN客户端共存？

基本故障排除

19.当AnyConnect尝试建立连接时，它会成功进行身份验证并构建SSL会话，但是如果使用LSP或NOD32 AV，则AnyConnect客户端会在vpndownloader中崩溃。我该怎么办？

20.我使用的是AT&T拨号器，客户端操作系统有时会出现蓝屏，导致创建迷你转储文件。我该怎么办？

21.安装Kaspersky 6.0.3（即使禁用）时，在CSTP状态= CONNECTED后，与ASA的AnyConnect连接会失败，并显示以下消息：“SVC消息：t/s=3/16:无法完全建立到安全网关的连接（代理身份验证、握手、错误证书等）。"

22.使用McAfee Firewall 5时，无法建立UDP DTLS连接。

23.我正在使用RRAS，当AnyConnect尝试建立与主机设备的连接时，以下终止错误会返回到事件日志：“终止原因代码29 [路由和远程访问服务正在运行] Windows服务“路由和远程访问”与Cisco AnyConnect VPN客户端不兼容。"

24.如果由于缺少凭据而连接失败，我应该怎么办？

25. AnyConnect客户端无法下载并产生以下错误消息："Cisco AnyConnect VPN客户端下载程序遇到问题，需要关闭。"

26.我正在使用Bonjour打印服务，AnyConnect事件日志表明无法识别IP转发表。

27.错误表示TUN版本已安装在此系统上，且与AnyConnect客户端不兼容。

28.如果客户端上存在LSP模块，并且发生Winsock目录冲突，我应该怎么做？

29.我正在连接DSL路由器，即使DTLS流量已成功协商，DTLS流量也会失败。我该怎么办？

30.在某些虚拟机网络服务设备上使用AnyConnect时，会导致性能问题。我该怎么办？

产品功能

1.什么是Cisco AnyConnect安全移动客户端？

Cisco AnyConnect安全移动客户端（也称为Cisco AnyConnect VPN客户端）是用于连接到在各种操作系统和硬件配置上运行的虚拟专用网络(VPN)的软件应用。此软件应用程序使另一个网络的远程资源能够被访问，就像用户直接连接到他的网络一样，但是是以安全的方式。Cisco AnyConnect安全移动客户端提供了一种创新的新方法来保护基于计算机或智能手机平台上的移动用户，为最终用户提供更无缝、始终受保护的体验，并为IT管理员提供全面的策略实施。

2.使用Cisco AnyConnect安全移动客户端有哪些优势？

Cisco AnyConnect安全移动客户端具有以下优势：

• 安全且持久的连接
• 持续的安全和策略实施
• 可从自适应安全设备(ASA)或企业软件部署系统部署
• 可定制和可翻译
• 易于配置
• 支持互联网协议安全(IPsec)和安全套接字层(SSL)
• 支持互联网密钥交换版本2.0(IKEv2.0)协议

3. Cisco AnyConnect安全移动客户端的主要功能是什么？

Cisco AnyConnect安全移动客户端具有以下主要功能：

• 核心功能
• 连接和断开功能
• 身份验证和加密功能
• 接口

要了解有关最低版本要求、许可证要求以及每个功能支持的操作系统的详细信息，请单击此处。 

许可证选项

有关RV340系列路由器上AnyConnect许可的最新信息，请参阅RV340系列路由器的AnyConnect许可文章。

4.部署AnyConnect安全移动客户端可能需要哪些许可证？

部署可能需要以下一个或多个AnyConnect许可证：

• AnyConnect Plus — 支持基本的AnyConnect功能，如PC和移动平台的VPN功能(AnyConnect和基于标准的IPsec互联网密钥交换版本2(IKEv2)软件客户端)、联邦信息处理标准(FIPS)、基本终端情景收集、802.1x Windows请求方和网络安全安全套接字层(SSL)VPN。Plus许可证最适用于以前由AnyConnect基础版许可证和思科身份服务引擎(ISE)状态、网络访问管理器或网络安全模块的用户提供的环境。
• AnyConnect Apex — 除高级功能(如无客户端VPN、VPN终端安全评估代理、统一终端安全评估代理、下一代加密或套件B、安全断言标记语言(SAML))、所有附加服务和灵活许可证)外，还支持所有基本AnyConnect Plus功能。Apex许可证最适用于以前由AnyConnect高级版、共享、Flex和高级终端评估许可证提供的环境。
• 仅VPN（永久） — 支持PC和移动平台的VPN功能、自适应安全设备(ASA)上的无客户端（基于浏览器）VPN终端、仅VPN合规性和状态代理与ASA、FIPS合规性以及采用AnyConnect和第三方IKEv2 VPN的下一代加密(Suite B)客户端。仅VPN许可证最适用于希望仅将AnyConnect用于远程访问VPN服务但总用户数高或不可预知的环境。此许可证持有者不提供其他AnyConnect功能或服务（如网络安全模块、思科雨伞漫游、ISE终端安全评估、网络可视性模块或网络访问管理器）。

支持

5. Cisco AnyConnect安全移动客户端支持哪些模块？

Cisco AnyConnect安全移动客户端支持以下模块：

• HostScan和状态评估
• ISE状态
• 网络安全
• AMP启用程序
• 网络可视性模块
• Umbrella漫游安全模块
• 报告和故障排除模块

要了解有关这些模块的最低版本要求、许可证要求和支持的操作系统的详细信息，请单击此处。 

6. Cisco AnyConnect安全移动客户端支持哪些操作系统？

Cisco AnyConnect安全移动客户端支持以下操作系统：

• Windows 10 x86（32位）和x64（64位）
• Windows 8.1 x86（32位）和x64（64位）
• Windows 8 x86（32位）和x64（64位）
• Windows 7 SP1 x86（32位）和x64（64位）
• Mac OS X 10.10、10.11和10.12
• Linux Red Hat 6（64位）
• Ubuntu 12.04(LTS)、 14.04(LTS)、 16.04(LTS)（全部64位）

要了解有关每个操作系统的AnyConnect支持的详细信息，请单击此处。 

7. Cisco AnyConnect安全移动客户端是否支持Apple iOS设备？

Yes.

8. Cisco AnyConnect安全移动客户端支持哪些Apple iOS设备？

支持以下Apple iOS设备：

设备	需要Apple iOS版本
iPad Air	7.0 或更高版本
iPad 2	6.0 或更高版本
iPad（第3代）	6.0 或更高版本
iPad（第4代）	6.0 或更高版本
iPad mini	6.0 或更高版本
iPad mini（带Retina显示屏）	7.0 或更高版本
iPad-Pro	9.0 或更高版本
iPhone 3GS	6.0 - 6.1.6
iPhone 4	6.0 - 7.1.2
iPhone 4S	6.0 或更高版本
iPhone 5	6.0 或更高版本
iPhone 5C	7.0 或更高版本
iPhone 5S	7.0 或更高版本
iPhone 6	8.0 或更高版本
iPhone 6 Plus	8.0 或更高版本
iPhone 6s	9.0 或更高版本
iPhone 6s Plus	9.0 或更高版本
iPod Touch（第4代）	6.0 - 6.1.6
iPod Touch（第5代）	6.0 或更高版本

要了解Apple iOS设备的AnyConnect支持的功能，请单击此处。 

9. Cisco是否支持AnyConnect VPN访问Cisco IOS?

思科支持AnyConnect VPN访问IOS版本15.1(2)T，作为安全网关；但是，IOS版本15.1(2)T目前不支持以下AnyConnect功能：

• 登录后永远在线VPN
• 连接失败策略
• 客户端防火墙提供本地打印机和系留设备访问
• 最佳网关选择
• 隔离
• AnyConnect配置文件编辑器

10. Cisco AnyConnect安全移动客户端是否支持Android设备？

Yes.

11. Cisco AnyConnect安全移动客户端支持哪些Android设备？

所有Android设备均配备Android 4.0（冰淇淋三明治）及更高版本。

安装

12. 64位浏览器(IE - Internet Explorer)是否支持AnyConnect Weblaunch安装？

64位IE浏览器不支持通过weblaunch安装AnyConnect。

13.安装Cisco AnyConnect安全移动客户端需要什么级别的权限？

安装Cisco AnyConnect安全移动客户端需要管理级别权限，但仅用于初始安装。

14.安装或升级Cisco AnyConnect安全移动客户端后是否需要重新启动系统？

否。与IPSec VPN客户端不同，安装或升级后无需重新启动。

15.是否可以在AnyConnect上保存密码凭据，以便下次不再请求身份验证？

否，无法在AnyConnect上保存密码凭证。

兼容性

16.在安装Cisco AnyConnect安全移动之前，我应牢记哪些互操作性注意事项？

• ISE和ASA头端共存
• 如果同时使用ISE和ASA进行客户端状态，则两个头端上的配置文件必须匹配。
• 如果为终端调配网络访问控制(NAC)代理，AnyConnect将忽略ISE 1.3服务器。
• 如果Cisco NAC代理和VPN终端安全评估(HostScan)模块都安装在客户端上，则Cisco NAC代理必须至少为4.9.4.3版或更高版本，才能防止终端安全评估冲突。
• 如果为ISE中的终端调配了AnyConnect，NAC代理将忽略ISE 1.3服务器。

17.已知哪些第三方应用与Cisco AnyConnect安全移动相冲突？

以下第三方应用与Cisco AnyConnect安全移动客户端存在已知的复杂性：

• Adobe和Apple — Bonjour打印服务
  • Adobe Creative Suite 3
  • Bonjour打印服务
  • iTunes

• AT&T通信管理器6.2和6.7版

• AT&T Sierra Wireless 875卡
• AT&T全球拨号器
• Citrix高级网关客户端版本2.2.1
• 防火墙冲突

• 第三方防火墙可能会干扰ASA组策略上配置的防火墙功能。
  • Juniper Odyssey客户端
  • 卡巴斯基AV工作站6.x
  • McAfee防火墙5
  • Microsoft Internet Explorer 8
  • Microsoft路由和远程访问服务器
  • Microsoft Windows更新
  • OpenVPN客户端
  • 负载均衡设备
  • Wave EMBASSY信任套件
  • 分层服务提供商(LSP)模块和NOD32 AV
  • EVDO无线卡和文丘里驱动程序
  • DSL路由器
  • CheckPoint和其他第三方软件（如Kaspersky）
  • 虚拟机网络服务驱动程序

• Windows防火墙可以阻止来自远程站点的数据包。如果禁用防火墙，您应该能够访问这些文件夹。

18. AnyConnect能否与来自同一PC上其他供应商的IPSec和/或SSL VPN客户端共存？

Yes.但以下一般规则适用于所有AnyConnect版本：

如果禁用其他供应商产品，且不应执行以下操作，则AnyConnect客户端应正常工作：

• 安装在第三方软件未运行时保持活动状态的Winsock LSP。
• 安装当第三方软件未运行时保持活动状态的本地http代理。
• 安装在第三方软件未运行时继续拦截流量的所有驱动程序。
• 此外，对物理接口的MTU执行的任何限制都可能导致性能降低。

基本故障排除

19.当AnyConnect尝试建立连接时，它会成功进行身份验证并构建SSL会话，但是如果使用LSP或NOD32 AV，AnyConnect客户端会在vpndownloader中崩溃。我该怎么办？

删除版本2.7中的Internet Monitor组件，并升级到ESET NOD32 AV的版本3.0。

20.我使用的是AT&T拨号器，客户端操作系统有时遇到蓝屏，导致创建迷你转储文件。我该怎么办？

升级到最新的7.6.2 AT&T全球网络客户端。

21.安装Kaspersky 6.0.3（即使禁用）后，CSTP状态= CONNECTED后，与ASA的AnyConnect连接会失败，并显示以下消息：“SVC消息：t/s=3/16:无法完全建立到安全网关的连接（代理身份验证、握手、错误证书等）。"

卸载Kaspersky并参考其论坛以获取其他更新。

22.使用McAfee Firewall 5时，无法建立UDP DTLS连接。

在McAfee Firewall中央控制台中，选择Advanced Tasks > Advanced options and Logging，并取消选中McAfee Firewall中的Block incoming fragments automatically复选框。

23.我正在使用RRAS，当AnyConnect尝试建立与主机设备的连接时，以下终止错误会返回到事件日志：“终止原因代码29 [路由和远程访问服务正在运行] Windows服务“路由和远程访问”与Cisco AnyConnect VPN客户端不兼容。"

禁用RRAS服务。

24.如果由于缺少凭据而连接失败，我应该怎么办？

第三方负载均衡器无法洞察ASA设备上的负载。由于ASA中的负载平衡功能足够智能，可以在设备间均匀分配VPN负载，因此我们建议改用内部ASA负载均衡。

25. AnyConnect客户端无法下载并产生以下错误消息："Cisco AnyConnect VPN客户端下载程序遇到问题，需要关闭。"

将补丁更新上传到版本1.2.1.38以解决所有dll问题。

26.我使用的是Bonjour打印服务，AnyConnect事件日志表明识别IP转发表失败。

在命令提示符下输入net stop "bonjour service"，禁用Bonjour打印服务。苹果公司已经生产了新版mDNSResponder(1.0.5.11)。为解决此问题，新版Bonjour与iTunes捆绑在一起，并可从Apple网站单独下载。

要了解有关Cisco AnyConnect安全移动客户端的Apple iOS已知问题和限制的详细信息，请单击此处。

27.错误表示TUN版本已安装在此系统上，与AnyConnect客户端不兼容。

卸载粘滞OpenVPN客户端。

28.如果客户端上存在LSP模块，并且发生Winsock目录冲突，我应该怎么做？

卸载LSP模块。

29.我正在连接DSL路由器，即使DTLS流量已成功协商，也会失败。我该怎么办？

使用出厂设置连接到Linksys路由器。此设置允许稳定的DTLS会话，且ping操作不会中断。添加规则以允许DTLS返回流量。

30.在某些虚拟机网络服务设备上使用AnyConnect时，会导致性能问题。我该怎么办？

取消选中AnyConnect虚拟适配器内所有IM设备的绑定。应用程序dsagent.exe位于C:\Windows\System\dgagent中。虽然它不显示在进程列表中，但您可以通过使用TCPview(sysinternals)打开套接字来查看它。 终止此过程时，AnyConnect的正常操作将返回。

要了解有关其他问题的详细信息以及解决这些问题的故障排除提示，请单击此处。